Archiv

"Es ist eine Gefahr"

Technologie.- Das Problem der nicht funktionierenden EC- und Kreditkarten muss so schnell wie möglich behoben werden. Dafür gibt es mehrere Wege. Welche Chancen und Gefahren diese Lösungsansätze bieten, erklärt Wissenschaftsjournalist Peter Welchering im Interview mit Manfred Kloiber.

09.01.2010

Manfred Kloiber: Offensichtlich greifen jetzt die Notfallpläne der Banken und Sparkassen. Die Kreditwirtschaft hat sich für eine Neuprogrammierung der Sicherheitschips auf den 30 Millionen betroffenen Karten entschlossen. Steht damit denn nun auch fest, wer für dieses Kartendesaster verantwortlich ist, Peter Welchering?

Peter Welchering: Nein, das steht dummerweise überhaupt nicht fest und das ist gar nicht klar. Klar ist inzwischen nur, dass es sich eben um einen Programmierfehler auf der Karte handelt. Ob die Kartenhersteller hier den Algorithmus für die Verarbeitung der Jahreszahlen einfach falsch programmiert oder angelegt haben oder ob sie das Unterprogramm für diese Verarbeitung von den Geldinstituten übernommen haben, darüber wird jetzt fröhlich gestritten. Michaela Roth, die Sprecherin des Deutschen Sparkassen- und Giroverbandes hat am Donnerstag gegenüber dem Deutschlandfunk erklärt, dass sich mit genau dieser Schuldfrage jetzt eben die Juristen auseinandersetzen müssen. Aber diese Diskussion wolle man eben nicht öffentlich führen. Gleichzeitig hört man sowohl aus Kreisen der Kreditwirtschaft als auch von den Unternehmen, die eben diese Karten herstellen, dass keiner Seite an einer wirklich langen juristischen Auseinandersetzung gelegen sei. Erstrecht nicht vor Gericht, weil das ja nur dazu führen würde, dass öffentlich über die Ursache dieses Kartenfehlers diskutiert würde. Und gerade diese Öffentlichkeit wollen Kartenhersteller wie auch Kreditwirtschaft vermeiden.

Kloiber: Die betroffenen Karten sollen ein Software-Update erhalten. Wie wird das funktionieren?

Welchering: Da gibt es zwei Modelle. Wie das dann konkret umgesetzt wird, das hat die Kreditwirtschaft noch nicht entschieden. Das sollte eigentlich bis heute entschieden werden. Jetzt hat man den Termin dafür bis Montag verlängert. Zunächst hatte der Deutsche Sparkassen- und Giroverband mitgeteilt, dass diese Neuprogrammierung über die Geldautomaten erfolgen solle. Das ist ja auch insgesamt eine ganz sinnvolle Vorgehensweise, denn dann sind die betroffenen Kunden ja nicht an Öffnungszeiten, beispielsweise der Bank- oder Sparkassenfilialen gebunden. Aber als dann nach dem ganz konkreten Prozedere nachgefragt wurde, also wie denn nun konkret von den Geldautomaten dieser Softwarepatch auf den Sicherheitschip der Karte gebracht werden soll, da hat das offensichtlich zu einer neuen Strategie der Kreditwirtschaft geführt. Jetzt ist nämlich davon die Rede, dass zumindest die Sparkassen entsprechende Schreib- und Lesegeräte für die Karten in ihren Filialen, also unter Aufsicht aufstellen wollen. Und diese Schreib-Lesegeräte sollen dann den Softwarepatch auf den Sicherheitschip spielen und die Karte neu einstellen. Lediglich die Commerzbank behält sich nach wie vor auch noch den Austausch der Karte insgesamt vor.

Kloiber: Was spricht denn gegen die Lösung mit dem Geldautomaten? Das wäre doch die einfachste. Sind da etwa technische Schwierigkeiten aufgetaucht?

Welchering: Nee, das sind wohl eher Schwierigkeiten in der Vermittlung. Auf ganz hartnäckiges Nachfragen hin, geben nämlich Banken und Sparkassen noch zu, dass in einem zweiten Schritt auch schon daran gedacht werde, die Geldautomaten in die Lage zu versetzen, die Karten jetzt neu zu programmieren, also dafür einzusetzen, um dieses Kartenproblem zu lösen. Aber da formulieren sie seit einigen Tagen sehr, sehr vorsichtig und sehr bewusst. Und das hat einen ganz spannenden Hintergrund. Denn vor fast einem Jahr hat ja der Virenexperte Vanja Svaczer mit seinen Trojanerfunden in Geldautomaten für ziemlichen Aufruhr gesorgt. Als die Trojanerfunde in Betriebssystemen von Geldautomaten, die mit Windows XP arbeiten, auch wirklich bestätigt waren, gab's dann ja eine Diskussion darüber, welche Schadsoftware denn jetzt wie über beispielsweise auch Sicherheitschips der EC- und Kreditkarten weiterverbreitet werden könne. Und damals wurde seitens der Kreditwirtschaft argumentiert, dieser Verbreitungsweg sei eigentlich ausgeschlossen. Dazu müssen die Karten in Geldautomaten ja beschrieben werden. Jetzt steht aber fest, mit dieser neuen Strategie, über die Geldautomaten den Softwarepatch für das Jahr-2010-Problem auf den Chip der Karte zu bringen, das eben die EMV-Anwendung für Veränderungen freigegeben werden kann. Und weil das jetzt auf diese Weise herausgekommen ist, wird in der Kreditwirtschaft auch befürchtet, dass die Viren- und Trojanerdiskussion bei den Geldautomaten wieder hochgekocht werden könne. Denn wenn ein Softwarepatch auf den Sicherheitschip einer Karte geschrieben werden kann, dann kann prinzipiell in rein technischer Hinsicht eben auch Schadsoftware auf den Sicherheitschip aufgespielt werden. Also Computerviren und Trojaner sind dann per EC- und Kreditkarte von Geldautomat zu Geldautomat übertragbar – prinzipiell gesehen.

Kloiber: Welche Sicherheitsrisiken bestehen denn für den Kartenbesitzer durch die Beschreibbarkeit dieser Sicherheitschips durch Geldautomaten?

Welchering: Die Beschreibbarkeit wird durch einen eigens verschlüsselten Kanal hergestellt. Wenn dieser Kanal aufgeknackt werden kann, dann wird die Karte unter Umständen zum Virenträger. Und die im vergangenen Jahr gefundenen Geldautomaten-Trojaner waren ja so programmiert, dass mit ihnen Kontendaten und die persönliche Identifikationsnummer, diese Pin, ausspioniert werden konnte. Und das wäre dann schon ein beträchtliches Risiko, wenn sich nämlich solche Schadsoftware über die Karte verbreiten würde, dann könnte man darüber auch beliebig viele persönliche Identifikationsnummern und Kontendaten einfach abgreifen und damit Geld abheben. Wobei man aber eben auch sehr deutlich sagen muss: das ist eine mögliche weitere Gefahr. Hier handelt es sich eben um eine reine Möglichkeit in technischer Hinsicht. Das bedeutet natürlich nicht, dass die nächste Computer-Virenseuche nun tatsächlich auch unmittelbar über diese Geldautomaten bevor steht. Aber es ist eine Gefahr. Die ist eben jetzt durch dieses Jahr-2010-Problem deutlich geworden. Darauf muss die Kreditwirtschaft reagieren und sie sollte am besten darauf reagieren, dass sie transparent macht, wie denn tatsächlich EMV-Anwendungen hier verändert werden können und wie sie geschützt werden – das aber ist ausgeblieben bisher.

Kloiber: Peter Welchering über Schadensbehebung im Bankkarten-Debakel. Vielen Dank.